W ostatnich latach pisaliśmy o wielu incydentach, w których oprogramowanie ransomware atakowało różne organizacje: szpitale, przedsiębiorstwa transportu miejskiego, a nawet rządowe komputery w całym stanie. Następnie nadeszła era tzw. wiperów, a wraz z nią epidemia WannaCry, ExPetr i Bad Rabbit blokujących działanie wielu firm na całym świecie.
Na szczęście taka sytuacja nie miała miejsca na przestrzeni minionych 12 miesięcy, ale nie wynika to z faktu, że cyberprzestępcy się poddali. 19 marca norweski gigant produkujący aluminium, firma Hydro, poinformował, że został zaatakowany przy użyciu ransomware.
Atak na firmę Hydro: co się stało
Jak poinformował rzecznik firmy Hydro podczas konferencji prasowej, najpierw zespół ds. bezpieczeństwa zauważył o północy nietypową aktywność na firmowych serwerach. Ponieważ infekcja rozprzestrzeniała się, podjęto próbę powstrzymania jej, co udało się częściowo — do czasu odizolowania zakładu infekcja objęła ich sieć globalną. Firma Hydro nie informuje, ile komputerów ucierpiało w wyniku ataku, jednak biorąc pod uwagę fakt, że zatrudnia ona 35 000 osób, liczba ta jest prawdopodobnie duża.
Zespół ds. bezpieczeństwa w firmie Hydro pracuje bez ustanku, aby ograniczyć skutki tego nieprzyjemnego zdarzenia. Ponieważ elektrownie nie były połączone z główną siecią, atak ich nie dosięgnął — co pokazuje, że jest to najlepsza opcja dla infrastruktury krytycznej. Niestety inaczej było w przypadku hut, które nie były odizolowane, gdyż na przestrzeni ostatnich lat zostały mocno zautomatyzowane. W efekcie kilka hut zlokalizowanych w Norwegii zostało zainfekowanych, a ekspertom udało się przywrócić niektóre z nich do całkowitej sprawności, choć w trybie wolniejszym — półautomatycznym. Jak twierdzi firma Hydro, nadal nie ma możliwości połączenia się z systemami produkcyjnymi, co stawia przed nią wyzwania produkcyjne oraz przyczynia się do tymczasowych przestojów w kilku zakładach.
Mimo bardzo dużej skali atak nie zablokował całkowicie działania firmy Hydro. Chociaż komputery z systemem Windows zostały zaszyfrowane, przez co stały się bezużyteczne, w firmie wykorzystywane są telefony i tablety z innymi systemami, co daje pracownikom możliwość komunikowania się i reagowania na potrzeby firmy. Kosztowna infrastruktura krytyczna, taka jak wanny do produkcji aluminium, które kosztują około 10 milionów euro za sztukę, nie została dotknięta atakiem. Ponadto nie ucierpieli również ludzie. Zaatakowana firma ma nadzieję, że wszystko, co zostało zainfekowane, przywróci z kopii zapasowych.
Analiza plusów i minusów w podejściu firmy
Prawdopodobnie firma Hydro musi przejść jeszcze długą drogę, zanim powróci do pełnej sprawności. Sama analiza incydentu zajmie sporo czasu i wysiłku, zarówno ze strony firmy Hydro, jak i norweskich władz. Na tę chwilę nie wiadomo, jakie oprogramowanie ransomware zostało użyte w tym ataku, ani kto za nim stoi.
Według przedstawicieli władz hipotez jest wiele. Jedna z nich mówi, że firma Hydro została zaatakowana przez ransomware o nazwie LockerGoga, którą serwis Bleeping Computer opisuje jako „powolne” (nasze analizy zgadzają się z tym opisem) i „niedbałe”, dodając, że nie broni się ono jakoś szczególnie przed uniknięciem wykrycia. W komunikacie dotyczącym okupu nie została wspomniana dokładna kwota, jakiej oszuści domagają się za odszyfrowanie komputerów, ale za to znajdował się adres umożliwiający skontaktowanie się z atakującymi.
Mimo że analiza incydentu nie została jeszcze zakończona, już teraz można powiedzieć, co firma Hydro zrobiła dobrze, a co źle — zarówno przed incydentem, jak i w trakcie.
Dobrze:
- Elektrownie były odizolowane od głównej sieci, dzięki czemu nie zostały zainfekowane.
- Zespół ds. bezpieczeństwa dość szybko odizolował huty, co nie zakłóciło ich działania (przeważnie w trybie półautomatycznym).
- Mimo incydentu pracownicy mogą się komunikować, co oznacza, że serwer komunikacji był chroniony wystarczająco dobrze i nie poddał się infekcji.
- Firma posiada kopie zapasowe, które pomogą przywrócić zaszyfrowane dane i wznowić działanie przedsiębiorstwa.
- Firma Hydro ma wykupione ubezpieczenie od incydentów cybernetycznych, które pokryje część kosztów.
Źle:
- Sieć prawdopodobnie nie została prawidłowo podzielona na segmenty — jeśli by tak było, znacznie łatwiejsze byłoby zatrzymanie rozprzestrzeniania się oprogramowania ransomware i powstrzymanie ataku.
- Zastosowany w firmie Hydro produkt zabezpieczający nie był wystarczająco dobry, aby zidentyfikować ransomware (mimo że zagrożenie LockerGoga jest stosunkowo nowe, jest już dobrze znane na przykład dla rozwiązania Kaspersky Endpoint Security for Business Advanced, który wykrywa je jako Trojan-Ransom.Win32.Crypgen.afbf).
- Rozwiązanie zabezpieczające mogło zostać uzupełnione o oprogramowanie służące do ochrony przez ransomware, np. o nasze darmowe narzędzie Kaspersky Anti-Ransomware Tool, które można zainstalować obok innych produktów ochronnych i potrafi zabezpieczyć system przed wszelkiego rodzaju programami żądającymi okupu, służącymi do generowania kryptowalut itp.